如何在烧瓶上确保REST Api

Question

我需要在我的应用程序上开发Rest API(基于Flask)

但我真的不知道应该如何保护它.

目前,我对来自浏览器的用户进行了正常的身份验证.(使用会话等)

但对于API用户,我应该在每个API请求时询问用户名/密码吗？它真的安全吗？我知道很多web API都使用令牌进行API调用,这是最好的方法吗？

在这种情况下,如何实现它？(这不是我的专业领域..)非常感谢

Answer 1

您应该使用token based authentication技术来保护您API的安全,一旦您的用户登录,该概念就很简单,您的网站应该将其保存在某个地方并将该令牌发回给您的用户.

对于对API的每次调用,用户应该在每次API请求时发送令牌,您应该验证编码的toke并拒绝或发回响应.

看看这里:https://realpython.com/blog/python/token-based-authentication-with-flask/

检查一下http://flask-jwt-extended.readthedocs.io/en/latest/

为了获得更好的性能,您可以将会话令牌存储在NOSQL数据库中Redis.

要支持使用社交媒体网站登录,您应该使用OAuth哪种方式以相同的方式工作,除非它将几个更多的令牌发送回客户端.

如果您有任何疑问,请发表评论,不要忘记评价我的答案